OAuth Client ID Spoofing Lets Attackers Validate Stolen Microsoft Entra Credentials
Angreifer nutzen eine neue Technik namens OAuth Client ID Spoofing, um gestohlene Microsoft Entra ID-Zugangsdaten zu validieren und Benutzerkonten zu identifizieren. Dabei umgehen sie herkömmliche Sicherheitswarnungen, da keine erfolgreichen Anmeldeversuche registriert werden. Unternehmen sollten ihre Überwachung anpassen, um diese Art von verdächtiger Aktivität frühzeitig zu erkennen.
Angreifer nutzen eine neue Technik namens OAuth Client ID Spoofing, um gestohlene Microsoft Entra ID-Zugangsdaten zu validieren. Diese Methode ermöglicht es, Benutzerkonten zu identifizieren, ohne erfolgreiche Anmeldeereignisse auszulösen, wodurch herkömmliche Sicherheitswarnungen umgangen werden. Unternehmen müssen ihre Überwachung anpassen, um diese Art von verdächtiger Aktivität zu erkennen.
Organisationen, die Microsoft Entra ID nutzen.
Diese Technik erlaubt es Angreifern, die Gültigkeit gestohlener Zugangsdaten zu überprüfen und Benutzerkonten zu identifizieren, ohne dass dies in Standard-Sicherheitswarnungen sichtbar wird. Dies erhöht das Risiko erfolgreicher nachfolgender Angriffe, da die Vorbereitung unentdeckt bleibt.
Angreifer können unbemerkt eine Liste gültiger Benutzerkonten und zugehöriger gestohlener Zugangsdaten erstellen, die später für gezielte Angriffe wie Phishing oder Brute-Force-Angriffe gegen andere Dienste verwendet werden können, was zu einem vollständigen Kontokompromiss führen könnte.
Implementieren Sie eine robuste Überwachung für ungewöhnliche Authentifizierungsversuche und überprüfen Sie die Entra ID-Anmeldeprotokolle auf verdächtige Muster, die auf OAuth Client ID Spoofing hindeuten könnten.
- ▸Überprüfen Sie die Microsoft Entra ID-Anmeldeprotokolle auf Anmeldeversuche mit ungewöhnlichen Client-IDs oder Anmeldefehlern, die nicht zu erwarteten Anwendungen gehören.
- ▸Stellen Sie sicher, dass Ihre SIEM-Lösung oder Ihr Überwachungssystem Warnungen für Anmeldeversuche generiert, die zwar fehlschlagen, aber von ungewöhnlichen oder unbekannten Client-IDs stammen.
- ▸Validieren Sie, ob Ihre aktuellen Überwachungsregeln Anmeldeversuche erkennen, die keine erfolgreichen Anmeldungen sind, aber auf eine Validierung von Zugangsdaten hindeuten (z.B. durch wiederholte fehlgeschlagene Versuche von derselben Quelle mit unterschiedlichen Benutzernamen).
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Credential Access | T1110 Brute Force | Low | Angreifer nutzen eine neue Technik namens OAuth Client ID Spoofing, um gestohlene Microsoft Entra ID-Zugangsdaten zu validieren und Benutzerkonten zu identifizieren. |
| Discovery | T1087 Account Discovery | High | Angreifer nutzen ... um gestohlene Microsoft Entra ID-Zugangsdaten zu validieren und Benutzerkonten zu identifizieren. |
| Defense Evasion | T1562 Impair Defenses | High | Dabei umgehen sie herkömmliche Sicherheitswarnungen, da keine erfolgreichen Anmeldeversuche registriert werden. |
- Es wird nicht spezifiziert, welche spezifischen Client-IDs oder Muster von Client-IDs als verdächtig gelten könnten.
- Der genaue technische Ablauf des OAuth Client ID Spoofing wird nicht detailliert beschrieben.
- Es werden keine spezifischen Tools oder Exploits genannt, die für diese Technik verwendet werden.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Haben wir Active Directory / Entra extern erreichbar?
- Können wir Reconnaissance detektieren?